CN116782214A - 一种认证方法及相关设备 - Google Patents
一种认证方法及相关设备 Download PDFInfo
- Publication number
- CN116782214A CN116782214A CN202210223952.4A CN202210223952A CN116782214A CN 116782214 A CN116782214 A CN 116782214A CN 202210223952 A CN202210223952 A CN 202210223952A CN 116782214 A CN116782214 A CN 116782214A
- Authority
- CN
- China
- Prior art keywords
- authentication
- request information
- secondary authentication
- smf
- authentication server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 79
- 230000006870 function Effects 0.000 claims description 33
- 238000004590 computer program Methods 0.000 claims description 6
- 238000004891 communication Methods 0.000 abstract description 3
- 238000007726 management method Methods 0.000 description 18
- 230000001960 triggered effect Effects 0.000 description 16
- 230000008569 process Effects 0.000 description 12
- 238000010586 diagram Methods 0.000 description 7
- 238000013475 authorization Methods 0.000 description 4
- 230000003993 interaction Effects 0.000 description 4
- 230000002093 peripheral effect Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000013523 data management Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
Landscapes
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明提供一种认证方法及相关设备,涉及通信技术领域,其中,认证方法包括:在确定用户设备UE未签约二次认证的情况下,向认证服务器发送第一请求信息,所述第一请求信息携带所述UE对应的通用公共用户标识GPSI,所述第一请求信息用于请求确认是否对所述UE进行二次认证;接收所述认证服务器发送的第一指示信息,所述第一指示信息用于确定是否触发所述UE的二次认证。本发明实施例能够提高触发UE进行二次认证的灵活性。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种认证方法及相关设备。
背景技术
为了满足垂直行业应用对网络和通信能力的差异化需求,5G网络不仅可以对终端入网进行认证,还实现了对终端访问垂直行业的数据网络提供认证能力,即二次认证。二次认证基于5G网络提供底层认证通道,由垂直行业自身选择或定制具体的认证算法和协议,实现认证自主可控,为5G面向垂直行业的应用提供有效的安全保障。同时,二次认证也有助于减少用户通过5G网络访问外部数据网的过程中产生的和外部数据网之间的新的安全风险。
5G二次认证可以实现终端和外部数据网络之间的认证,然而目前二次认证仅由会话管理功能(Session Management Function,SMF)或认证服务器触发,且只有签约二次认证的终端才能够执行。而在现实应用场景中,例如某个企业的5G智慧园区,存在未签约的企业员工进入园区后,其终端需要访问数据网络(如访问内网业务)的需求,此时无法执行二次认证,因此,触发终端进行二次认证的灵活性较差。
发明内容
本发明实施例提供一种认证方法及相关设备,以解决现有二次认证中只有签约二次认证的终端才能够执行二次认证,触发终端进行二次认证的灵活性较差的问题。
为解决上述技术问题,本发明是这样实现的:
第一方面,本发明实施例提供了一种认证方法,应用于会话管理功能SMF,所述方法包括:
在确定用户设备UE未签约二次认证的情况下,向认证服务器发送第一请求信息,所述第一请求信息携带所述UE对应的通用公共用户标识GPSI,所述第一请求信息用于请求确认是否对所述UE进行二次认证;
接收所述认证服务器发送的第一指示信息,所述第一指示信息用于确定是否触发所述UE的二次认证。
可选的,所述接收所述认证服务器发送的第一指示信息之后,所述方法还包括:
在所述第一指示信息指示触发所述UE的二次认证的情况下,触发所述UE的二次认证。
可选的,所述向认证服务器发送第一请求信息,包括:
在所述UE的用户位置信息表征所述UE在允许进行二次认证的位置区域内的情况下,向认证服务器发送第一请求信息。
可选的,所述向认证服务器发送第一请求信息,包括:
在所述UE发起的协议数据单元PDU会话请求次数小于预设阈值的情况下,向认证服务器发送第一请求信息。
可选的,所述向认证服务器发送第一请求信息之前,所述方法还包括:
基于所述UE的全球唯一用户永久标识符SUPI和数据网络名称DNN获取所述UE对应的通用公共用户标识GPSI。
可选的,所述向认证服务器发送第一请求信息,包括:
与用户平面功能UPF建立N4会话,其中,所述N4为所述SMF与所述UPF之间的接口;
通过所述UPF向认证服务器发送第一请求信息。
第二方面,本发明实施例提供了一种认证方法,应用于认证服务器,所述方法包括:
在用户设备UE未签约二次认证的情况下,接收会话管理功能SMF发送的第一请求信息,所述第一请求信息携带所述UE对应的通用公共用户标识GPSI,所述第一请求信息用于请求确认是否对所述UE进行二次认证;
向所述SMF发送第一指示信息,所述第一指示信息用于确定是否触发所述UE的二次认证。
可选的,所述向所述SMF发送第一指示信息之后,所述方法还包括:
在所述第一指示信息指示触发所述UE的二次认证的情况下,对所述UE进行二次认证。
可选的,所述对所述UE进行二次认证之后,所述方法还包括:
在所述UE成功执行二次认证的情况下,向网络开放网元NEF发送更新信息,所述更新信息用于指示将所述UE对应的GPSI增加至用户签约数据。
可选的,所述接收SMF发送的第一请求信息,包括:
在所述UE的用户位置信息表征所述UE在允许进行二次认证的位置区域内的情况下,接收SMF发送的第一请求信息。
可选的,所述接收SMF发送的第一请求信息,包括:
在所述UE发起的协议数据单元PDU会话请求次数小于预设阈值的情况下,接收SMF发送的第一请求信息。
可选的,所述UE对应的通用公共用户标识GPSI基于所述UE的全球唯一用户永久标识符SUPI和数据网络名称DNN获得。
第三方面,本发明实施例提供了一种SMF,所述SMF包括:
发送模块,用于在确定用户设备UE未签约二次认证的情况下,向认证服务器发送第一请求信息,所述第一请求信息携带所述UE对应的通用公共用户标识GPSI,所述第一请求信息用于请求确认是否对所述UE进行二次认证;
接收模块,用于接收所述认证服务器发送的第一指示信息,所述第一指示信息用于确定是否触发所述UE的二次认证。
可选的,所述SMF还包括:
触发模块,用于在所述第一指示信息指示触发所述UE的二次认证的情况下,触发所述UE的二次认证。
可选的,所述发送模块具体用于:
在确定用户设备UE未签约二次认证的情况下,在所述UE的用户位置信息表征所述UE在允许进行二次认证的位置区域内的情况下,向认证服务器发送第一请求信息。
可选的,所述发送模块具体用于:
在确定用户设备UE未签约二次认证的情况下,在所述UE发起的协议数据单元PDU会话请求次数小于预设阈值的情况下,向认证服务器发送第一请求信息。
可选的,所述SMF还包括:
获取模块,用于基于所述UE的全球唯一用户永久标识符SUPI和数据网络名称DNN获取所述UE对应的通用公共用户标识GPSI。
可选的,所述发送模块具体用于:
在确定用户设备UE未签约二次认证的情况下,与用户平面功能UPF建立N4会话,其中,所述N4为所述SMF与所述UPF之间的接口;
通过所述UPF向认证服务器发送第一请求信息。
第四方面,本发明实施例提供了一种认证服务器,所述认证服务器包括:
接收模块,用于在用户设备UE未签约二次认证的情况下,接收会话管理功能SMF发送的第一请求信息,所述第一请求信息携带所述UE对应的通用公共用户标识GPSI,所述第一请求信息用于请求确认是否对所述UE进行二次认证;
第一发送模块,用于向所述SMF发送第一指示信息,所述第一指示信息用于确定是否触发所述UE的二次认证。
可选的,所述认证服务器还包括:
认证模块,用于在所述第一指示信息指示触发所述UE的二次认证的情况下,对所述UE进行二次认证。
可选的,所述认证服务器还包括:
第二发送模块,用于在所述UE成功执行二次认证的情况下,向网络开放网元NEF发送更新信息,所述更新信息用于指示将所述UE对应的GPSI增加至用户签约数据。
可选的,所述接收模块具体用于:
在用户设备UE未签约二次认证的情况下,在所述UE的用户位置信息表征所述UE在允许进行二次认证的位置区域内的情况下,接收SMF发送的第一请求信息。
可选的,所述接收模块具体用于:
在用户设备UE未签约二次认证的情况下,在所述UE发起的协议数据单元PDU会话请求次数小于预设阈值的情况下,接收SMF发送的第一请求信息。
可选的,所述UE对应的通用公共用户标识GPSI基于所述UE的全球唯一用户永久标识符SUPI和数据网络名称DNN获得。
第五方面,本发明实施例提供了一种SMF,包括收发机和处理器,
所述收发机,用于在确定用户设备UE未签约二次认证的情况下,向认证服务器发送第一请求信息,所述第一请求信息携带所述UE对应的通用公共用户标识GPSI,所述第一请求信息用于请求确认是否对所述UE进行二次认证;
所述收发机,还用于接收所述认证服务器发送的第一指示信息,所述第一指示信息用于确定是否触发所述UE的二次认证。
可选的,所述处理器,用于在所述第一指示信息指示触发所述UE的二次认证的情况下,触发所述UE的二次认证。
可选的,所述收发机,还用于在所述UE的用户位置信息表征所述UE在允许进行二次认证的位置区域内的情况下,向认证服务器发送第一请求信息。
可选的,所述收发机,还用于在所述UE发起的协议数据单元PDU会话请求次数小于预设阈值的情况下,向认证服务器发送第一请求信息。
可选的,所述处理器,还用于基于所述UE的全球唯一用户永久标识符SUPI和数据网络名称DNN获取所述UE对应的通用公共用户标识GPSI。
可选的,所述处理器,还用于与用户平面功能UPF建立N4会话,其中,所述N4为所述SMF与所述UPF之间的接口;
所述收发机,还用于通过所述UPF向认证服务器发送第一请求信息。
第六方面,本发明实施例提供了一种认证服务器,包括收发机和处理器,
所述收发机,用于在用户设备UE未签约二次认证的情况下,接收会话管理功能SMF发送的第一请求信息,所述第一请求信息携带所述UE对应的通用公共用户标识GPSI,所述第一请求信息用于请求确认是否对所述UE进行二次认证;
所述收发机,还用于向所述SMF发送第一指示信息,所述第一指示信息用于确定是否触发所述UE的二次认证。
可选的,所述处理器,用于在所述第一指示信息指示触发所述UE的二次认证的情况下,对所述UE进行二次认证。
可选的,所述收发机,还用于在所述UE成功执行二次认证的情况下,向网络开放网元NEF发送更新信息,所述更新信息用于指示将所述UE对应的GPSI增加至用户签约数据。
可选的,所述收发机,还用于在所述UE的用户位置信息表征所述UE在允许进行二次认证的位置区域内的情况下,接收SMF发送的第一请求信息。
可选的,所述收发机,还用于在所述UE发起的协议数据单元PDU会话请求次数小于预设阈值的情况下,接收SMF发送的第一请求信息。
可选的,所述UE对应的通用公共用户标识GPSI基于所述UE的全球唯一用户永久标识符SUPI和数据网络名称DNN获得。
第七方面,本发明实施例提供一种SMF,包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序,所述程序被所述处理器执行时实现上述第一方面所述的认证方法的步骤。
第八方面,本发明实施例提供一种认证服务器,包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序,所述程序被所述处理器执行时实现上述第二方面所述的认证方法的步骤。
第九方面,本发明实施例提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面所述的认证方法的步骤;或者所述计算机程序被处理器执行时实现上述第二方面所述的认证方法的步骤。
本发明实施例中,在确定用户设备UE未签约二次认证的情况下,向认证服务器发送第一请求信息,所述第一请求信息携带所述UE对应的通用公共用户标识GPSI,所述第一请求信息用于请求确认是否对所述UE进行二次认证;接收所述认证服务器发送的第一指示信息,所述第一指示信息用于确定是否触发所述UE的二次认证。这样,对于未签约二次认证的UE,能够通过SMF与认证服务器的交互确定是否触发UE的二次认证,能够提高触发UE进行二次认证的灵活性,丰富UE进行二次认证的使用场景。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种认证方法的流程图;
图2是本发明实施例提供的一种UE访问园区网络的示意图;
图3是本发明实施例提供的另一种认证方法的流程图;
图4是本发明实施例提供的另一种认证方法的流程图;
图5是本发明实施例提供的一种SMF的结构示意图;
图6是本发明实施例提供的一种认证服务器的结构示意图;
图7是本发明实施例提供的另一种SMF的结构示意图;
图8是本发明实施例提供的另一种认证服务器的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例中,提出了一种认证方法及相关设备,以解决现有二次认证中只有签约二次认证的终端才能够执行二次认证,触发终端进行二次认证的灵活性较差的问题。
参见图1,图1是本发明实施例提供的一种认证方法的流程图,用于会话管理功能SMF,如图1所示,所述方法包括以下步骤:
步骤101、在确定用户设备(User Equipment,UE)未签约二次认证的情况下,向认证服务器发送第一请求信息,所述第一请求信息携带所述UE对应的通用公共用户标识(Generic Public Subscription Identifier,GPSI),所述第一请求信息用于请求确认是否对所述UE进行二次认证。
其中,所述认证服务器可以为用于验证、授权和记账的第三方数据网络服务器,或者可以为用于验证、授权和记账的运营商数据网络服务器,等等。示例地,认证服务器可以为数据网络-验证、授权和记账服务器(Data network-Authentication、Authorization、Accounting,DN-AAA)。所述向认证服务器发送第一请求信息,可以是,在所述UE的用户位置信息表征所述UE在允许进行二次认证的位置区域内的情况下,向认证服务器发送第一请求信息;或者可以是,在所述UE发起的协议数据单元(Protocol Data Unit,PDU)会话请求次数小于预设阈值的情况下,向认证服务器发送第一请求信息;或者可以是,在所述UE的用户位置信息表征所述UE在允许进行二次认证的位置区域内且所述UE发起的协议数据单元PDU会话请求次数小于预设阈值的情况下,向认证服务器发送第一请求信息;等等,本实施例对此不进行限定。
一种实施方式中,可以是在确定用户设备UE未签约二次认证的情况下,若确定所述UE的用户位置信息表征所述UE在允许进行二次认证的位置区域内且所述UE发起的协议数据单元PDU会话请求次数小于预设阈值,则向认证服务器发送第一请求信息。
步骤102、接收所述认证服务器发送的第一指示信息,所述第一指示信息用于确定是否触发所述UE的二次认证。
其中,所述二次认证可以用于表征所述UE与所述认证服务器通过可扩展认证协议进行认证。在所述第一指示信息指示触发所述UE的二次认证的情况下,可以触发所述UE的二次认证;在所述第一指示信息指示不触发所述UE的二次认证的情况下,可以不触发所述UE的二次认证,即不执行触发UE的二次认证的动作。
一种实施方式中,在所述UE成功执行二次认证的情况下,认证服务器可以向网络开放网元(Network Exposure Fuction,NEF)发送更新信息,所述更新信息用于指示将所述UE对应的GPSI增加至用户签约数据。这样,对于未签约的UE,在成功执行二次认证的情况下,能够自动签约,从而能够动态更新用户签约数据。
需要说明的是,对于签约二次认证的UE,进行二次认证的过程可以如下:UE首先通过主认证和接入和移动性管理装置(Access and Mobility Management Function,AMF)建立网络附属存储(Network Attached Storage,NAS)安全上下文,AMF用于负责终端接入和切换;然后UE发起PDU会话建立请求,会话管理功能(Session Management Function,SMF)根据从AMF得到的全球唯一用户永久标识符(SUbscription Permanent Identifier,SUPI)从统一数据管理功能(Unified Data Management,UDM)得到签约数据,SMF用于提供服务连续性,服务的不间断用户体验,UDM用于负责生成身份验证向量。SMF检查UE请求是否符合用户签约数据和本地策略,如果不符合,则拒绝UE请求,若符合,则触发可扩展认证协议(Extensible Authentication Protocol,EAP)认证过程,DN AAA服务器和UE交换EAP所需的EAP消息,完成认证,并随后建立PDU会话。
本发明实施例中,在确定用户设备UE未签约二次认证的情况下,向认证服务器发送第一请求信息,所述第一请求信息携带所述UE对应的通用公共用户标识GPSI,所述第一请求信息用于请求确认是否对所述UE进行二次认证;接收所述认证服务器发送的第一指示信息,所述第一指示信息用于确定是否触发所述UE的二次认证。这样,对于未签约二次认证的UE,能够通过SMF与认证服务器的交互确定是否触发UE的二次认证,能够提高触发UE进行二次认证的灵活性,丰富UE进行二次认证的使用场景。
可选的,所述接收所述认证服务器发送的第一指示信息之后,所述方法还包括:
在所述第一指示信息指示触发所述UE的二次认证的情况下,触发所述UE的二次认证。
其中,在SMF触发UE的二次认证的情况下,UE与认证服务器之间交换EAP认证消息,执行二次认证。
该实施方式中,在所述第一指示信息指示触发所述UE的二次认证的情况下,触发所述UE的二次认证,从而能够通过认证服务器向SMF发送的第一指示信息确定触发UE的二次认证,实现未签约二次认证的UE在接入网络后,执行二次认证,安全地接入数据网络中。
可选的,所述向认证服务器发送第一请求信息,包括:
在所述UE的用户位置信息表征所述UE在允许进行二次认证的位置区域内的情况下,向认证服务器发送第一请求信息。
其中,所述UE的用户位置信息可以携带在UE的ULI参数中。所述UE的用户位置信息表征所述UE在允许进行二次认证的位置区域内,可以是UE的ULI参数表征UE在允许进行二次认证的位置区域内。该允许进行二次认证的位置区域可以预先设置,在不同的使用场景中可以设置不同的位置区域,示例地,如图2所示,对于有访问某个企业内网业务需求的UE,该允许进行二次认证的位置区域可以为某个企业的5G智慧园区。
另外,在所述UE的用户位置信息表征所述UE在允许进行二次认证的位置区域内的情况下,SMF可以基于所述UE的全球唯一用户永久标识符SUPI和数据网络名称(DataNetwork Name,DNN)获取所述UE对应的通用公共用户标识GPSI,向认证服务器发送第一请求信息,在该第一请求信息中携带所述UE对应的GPSI。
该实施方式中,在所述UE的用户位置信息表征所述UE在允许进行二次认证的位置区域内的情况下,向认证服务器发送第一请求信息,这样,对于未签约的,但在特定区域需要访问特定网络的UE,能够执行二次认证,丰富了UE进行二次认证的使用场景。
可选的,所述向认证服务器发送第一请求信息,包括:
在所述UE发起的协议数据单元PDU会话请求次数小于预设阈值的情况下,向认证服务器发送第一请求信息。
其中,该预设阈值可以预先设置,示例地,可以设置为100,1000,10000等等,可以根据SMF的能力进行设置,使得UE发起的PDU会话请求次数是在SMF过载控制范围内。所述在所述UE发起的协议数据单元PDU会话请求次数小于预设阈值的情况下,向认证服务器发送第一请求信息,可以是,在所述UE的用户位置信息表征所述UE在允许进行二次认证的位置区域内,且所述UE发起的协议数据单元PDU会话请求次数小于预设阈值的情况下,向认证服务器发送第一请求信息。
该实施方式中,在所述UE发起的协议数据单元PDU会话请求次数小于预设阈值的情况下,向认证服务器发送第一请求信息,这样,能够减少恶意的UE对认证服务器可能发起的DoS攻击,提高网络安全性。
可选的,所述向认证服务器发送第一请求信息之前,所述方法还包括:
基于所述UE的全球唯一用户永久标识符SUPI和数据网络名称DNN获取所述UE对应的通用公共用户标识GPSI。
其中,SMF可以向UDM发送请求信息,该请求信息携带UE的SUPI和DNN,UDM向SMF返回该UE对应的GPSI。从而SMF可以基于UE的SUPI和DNN从UDM获取该UE对应的GPSI。
该实施方式中,基于所述UE的全球唯一用户永久标识符SUPI和数据网络名称DNN获取所述UE对应的通用公共用户标识GPSI,这样,能够通过获取的UE的GPSI,向认证服务器请求确认是否对所述UE进行二次认证。
可选的,所述向认证服务器发送第一请求信息,包括:
与用户平面功能(User Plane Function,UPF)建立N4会话,其中,所述N4为所述SMF与所述UPF之间的接口;
通过所述UPF向认证服务器发送第一请求信息。
其中,所述N4会话的ID可以由SMF分配,用于唯一标识一个N4会话。
该实施方式中,与用户平面功能UPF建立N4会话,通过所述UPF向认证服务器发送第一请求信息,从而能够通过UPF向认证服务器传递用于请求确认是否对所述UE进行二次认证的第一请求信息。
作为一种具体的实施例,如图3所示,所述认证方法包括如下过程:
(1)UE向AMF发送认证请求(Registration request);
(2)UE与身份验证服务器功能(Authentication Server Function,AUSF)之间进行主认证(Primary Authentication);
(3)UE与AMF之间进行NAS安全建立(NAS security established);
(4)UE向AMF发送PDU会话建立请求(NAS security established);
(5a)AMF向V-SMF发送NAS安全上下文建立请求(Nsmf_PDUSession_CreateSMContextRequest);
(5b)V-SMF向AMF返回NAS安全上下文建立请求响应(Nsmf_PDUSession_CreateSMContext Response)
(6)V-SMF继续PDU会话建立请求过程,向H-SMF发送PDU会话创建请求(Nsmf_PDUSession_Create Request);
(7)SMF从UDM获得签约信息且验证UE请求是否合法;
(8)SMF根据SUPI和DNN向UDM获取UE对应的GPSI;
其中,若UE未签约二次认证,但UE的ULI参数显示UE在允许进行二次认证的位置区域内且该UE发起的PDU request请求次数是在SMF过载控制范围内,则SMF根据SUPI和DNN向UDM获取UE对应的GPSI。SMF过载控制范围的设置是为了减少恶意的UE对DN AAA可能发起的DoS攻击。
(9)SMF与H-UPF建立N4会话(N4 Session establishment);
(10)SMF通过H-UPF向DN-AAA请求是否对该UE执行二次认证,该请求中携带UE的GPSI。
(11)DN-AAA根据UE的GPSI判断是否触发二次认证;
其中,DN-AAA根据GPSI查询认证数据库判断是否需要触发二次认证,若不需执行,则跳过后面的所有流程,若需执行,则指示SMF触发二次认证。
(12)DN-AAA回复SMF是否触发执行二次认证;
(13)UE执行EAP认证;
若DN-AAA回复SMF触发执行二次认证,则SMF触发二次认证,UE与DN-AAA之间交换EAP认证消息。
(14)UE继续PDU会话建立流程,并指示EAP认证成功。
(15)DN-AAA更新UDM签约数据。
其中,在UE进行EAP认证成功后,DN-AAA向NEF发送更新信息(Nnef_parameterProvision_update),新增该UE的GPSI到用户签约数据。
需要说明的是,UE和DN-AAA支持基于3GPP凭证(credential)或者在线申请credential的EAP认证,如:EAP-TLS,EAP-MD5,EAP-AKA等。
本实施例中,SMF为没有签约二次认证但实际上需要进行二次认证的UE提供了方法,使得DN-AAA可以根据UE的GPSI信息判断是否进行二次认证;且对于成功执行二次认证的UE,能够自动触发用户签约数据更新。针对需要进行二次认证但没有签约的UE,能够触发UE的二次认证,实现了DN-AAA对UE的二次认证更加自主和精细化的控制,且能够动态更新用户签约数据,提高了二次认证的灵活性,丰富了二次认证的使用场景。
参见图4,图4是本发明实施例提供的一种认证方法的流程图,用于认证服务器,如图4所示,所述方法包括以下步骤:
步骤201、在用户设备UE未签约二次认证的情况下,接收会话管理功能SMF发送的第一请求信息,所述第一请求信息携带所述UE对应的通用公共用户标识GPSI,所述第一请求信息用于请求确认是否对所述UE进行二次认证;
步骤202、向所述SMF发送第一指示信息,所述第一指示信息用于确定是否触发所述UE的二次认证。
可选的,所述向所述SMF发送第一指示信息之后,所述方法还包括:
在所述第一指示信息指示触发所述UE的二次认证的情况下,对所述UE进行二次认证。
可选的,所述对所述UE进行二次认证之后,所述方法还包括:
在所述UE成功执行二次认证的情况下,向网络开放网元NEF发送更新信息,所述更新信息用于指示将所述UE对应的GPSI增加至用户签约数据。
可选的,所述接收SMF发送的第一请求信息,包括:
在所述UE的用户位置信息表征所述UE在允许进行二次认证的位置区域内的情况下,接收SMF发送的第一请求信息。
可选的,所述接收SMF发送的第一请求信息,包括:
在所述UE发起的协议数据单元PDU会话请求次数小于预设阈值的情况下,接收SMF发送的第一请求信息。
可选的,所述UE对应的通用公共用户标识GPSI基于所述UE的全球唯一用户永久标识符SUPI和数据网络名称DNN获得。
需要说明的是,本实施例作为与图4所示的实施例中对应的认证服务器的实施方式,其具体的实施方式可以参见图4所示的实施例的相关说明,为了避免重复说明,本实施例不再赘述,且还可以达到相同有益效果。
参见图5,图5是本发明实施例提供的一种SMF的结构示意图,如图5所示,SMF300包括:
发送模块301,用于在确定用户设备UE未签约二次认证的情况下,向认证服务器发送第一请求信息,所述第一请求信息携带所述UE对应的通用公共用户标识GPSI,所述第一请求信息用于请求确认是否对所述UE进行二次认证;
接收模块302,用于接收所述认证服务器发送的第一指示信息,所述第一指示信息用于确定是否触发所述UE的二次认证。
可选的,所述SMF还包括:
触发模块,用于在所述第一指示信息指示触发所述UE的二次认证的情况下,触发所述UE的二次认证。
可选的,所述发送模块具体用于:
在确定用户设备UE未签约二次认证的情况下,在所述UE的用户位置信息表征所述UE在允许进行二次认证的位置区域内的情况下,向认证服务器发送第一请求信息。
可选的,所述发送模块具体用于:
在确定用户设备UE未签约二次认证的情况下,在所述UE发起的协议数据单元PDU会话请求次数小于预设阈值的情况下,向认证服务器发送第一请求信息。
可选的,所述SMF还包括:
获取模块,用于基于所述UE的全球唯一用户永久标识符SUPI和数据网络名称DNN获取所述UE对应的通用公共用户标识GPSI。
可选的,所述发送模块具体用于:
在确定用户设备UE未签约二次认证的情况下,与用户平面功能UPF建立N4会话,其中,所述N4为所述SMF与所述UPF之间的接口;
通过所述UPF向认证服务器发送第一请求信息。
SMF300能够实现图1所示的方法实施例中SMF实现的各个过程,为避免重复,这里不再赘述。对于未签约二次认证的UE,能够通过SMF与认证服务器的交互确定是否触发UE的二次认证,能够提高触发UE进行二次认证的灵活性,丰富UE进行二次认证的使用场景。
参见图6,图6是本发明实施例提供的一种认证服务器的结构示意图,如图6所示,认证服务器400包括:
接收模块401,用于在用户设备UE未签约二次认证的情况下,接收会话管理功能SMF发送的第一请求信息,所述第一请求信息携带所述UE对应的通用公共用户标识GPSI,所述第一请求信息用于请求确认是否对所述UE进行二次认证;
第一发送模块402,用于向所述SMF发送第一指示信息,所述第一指示信息用于确定是否触发所述UE的二次认证。
可选的,所述认证服务器还包括:
认证模块,用于在所述第一指示信息指示触发所述UE的二次认证的情况下,对所述UE进行二次认证。
可选的,所述认证服务器还包括:
第二发送模块,用于在所述UE成功执行二次认证的情况下,向网络开放网元NEF发送更新信息,所述更新信息用于指示将所述UE对应的GPSI增加至用户签约数据。
可选的,所述接收模块具体用于:
在用户设备UE未签约二次认证的情况下,在所述UE的用户位置信息表征所述UE在允许进行二次认证的位置区域内的情况下,接收SMF发送的第一请求信息。
可选的,所述接收模块具体用于:
在用户设备UE未签约二次认证的情况下,在所述UE发起的协议数据单元PDU会话请求次数小于预设阈值的情况下,接收SMF发送的第一请求信息。
可选的,所述UE对应的通用公共用户标识GPSI基于所述UE的全球唯一用户永久标识符SUPI和数据网络名称DNN获得。
认证服务器400能够实现图4所示的方法实施例中认证服务器实现的各个过程,为避免重复,这里不再赘述。对于未签约二次认证的UE,能够通过SMF与认证服务器的交互确定是否触发UE的二次认证,能够提高触发UE进行二次认证的灵活性,丰富UE进行二次认证的使用场景。
本发明实施例还提供了一种SMF,包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序,所述程序被所述处理器执行时实现上述认证方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
具体的,参见图7所示,本发明实施例还提供了一种SMF,包括总线501、收发机502、天线503、总线接口504、处理器505和存储器506。
所述收发机502,用于在确定用户设备UE未签约二次认证的情况下,向认证服务器发送第一请求信息,所述第一请求信息携带所述UE对应的通用公共用户标识GPSI,所述第一请求信息用于请求确认是否对所述UE进行二次认证;
所述收发机502,还用于接收所述认证服务器发送的第一指示信息,所述第一指示信息用于确定是否触发所述UE的二次认证。
可选的,所述处理器505,用于在所述第一指示信息指示触发所述UE的二次认证的情况下,触发所述UE的二次认证。
可选的,所述收发机502,还用于在所述UE的用户位置信息表征所述UE在允许进行二次认证的位置区域内的情况下,向认证服务器发送第一请求信息。
可选的,所述收发机502,还用于在所述UE发起的协议数据单元PDU会话请求次数小于预设阈值的情况下,向认证服务器发送第一请求信息。
可选的,所述处理器505,还用于基于所述UE的全球唯一用户永久标识符SUPI和数据网络名称DNN获取所述UE对应的通用公共用户标识GPSI。
可选的,所述处理器505,还用于与用户平面功能UPF建立N4会话,其中,所述N4为所述SMF与所述UPF之间的接口;
所述收发机502,还用于通过所述UPF向认证服务器发送第一请求信息。
在图7中,总线架构(用总线501来代表),总线501可以包括任意数量的互联的总线和桥,总线501将包括由处理器505代表的一个或多个处理器和存储器506代表的存储器的各种电路链接在一起。总线501还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口504在总线501和收发机502之间提供接口。收发机502可以是一个元件,也可以是多个元件,比如多个接收器和发送器,提供用于在传输介质上与各种其他装置通信的单元。经处理器505处理的数据通过天线503在无线介质上进行传输,进一步,天线503还接收数据并将数据传送给处理器505。
处理器505负责管理总线501和通常的处理,还可以提供各种功能,包括定时,外围接口,电压调节、电源管理以及其他控制功能。而存储器506可以被用于存储处理器505在执行操作时所使用的数据。
可选的,处理器505可以是CPU、ASIC、FPGA或CPLD。
本发明实施例还提供了一种认证服务器,包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序,所述程序被所述处理器执行时实现上述认证方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
具体的,参见图8所示,本发明实施例还提供了一种认证服务器,包括总线601、收发机602、天线603、总线接口604、处理器605和存储器606。
所述收发机602,用于在用户设备UE未签约二次认证的情况下,接收会话管理功能SMF发送的第一请求信息,所述第一请求信息携带所述UE对应的通用公共用户标识GPSI,所述第一请求信息用于请求确认是否对所述UE进行二次认证;
所述收发机602,还用于向所述SMF发送第一指示信息,所述第一指示信息用于确定是否触发所述UE的二次认证。
可选的,所述处理器605,用于在所述第一指示信息指示触发所述UE的二次认证的情况下,对所述UE进行二次认证。
可选的,所述收发机602,还用于在所述UE成功执行二次认证的情况下,向网络开放网元NEF发送更新信息,所述更新信息用于指示将所述UE对应的GPSI增加至用户签约数据。
可选的,所述收发机602,还用于在所述UE的用户位置信息表征所述UE在允许进行二次认证的位置区域内的情况下,接收SMF发送的第一请求信息。
可选的,所述收发机602,还用于在所述UE发起的协议数据单元PDU会话请求次数小于预设阈值的情况下,接收SMF发送的第一请求信息。
可选的,所述UE对应的通用公共用户标识GPSI基于所述UE的全球唯一用户永久标识符SUPI和数据网络名称DNN获得。
在图8中,总线架构(用总线601来代表),总线601可以包括任意数量的互联的总线和桥,总线601将包括由处理器605代表的一个或多个处理器和存储器606代表的存储器的各种电路链接在一起。总线601还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口604在总线601和收发机602之间提供接口。收发机602可以是一个元件,也可以是多个元件,比如多个接收器和发送器,提供用于在传输介质上与各种其他装置通信的单元。经处理器605处理的数据通过天线603在无线介质上进行传输,进一步,天线603还接收数据并将数据传送给处理器605。
处理器605负责管理总线601和通常的处理,还可以提供各种功能,包括定时,外围接口,电压调节、电源管理以及其他控制功能。而存储器606可以被用于存储处理器605在执行操作时所使用的数据。
可选的,处理器605可以是CPU、ASIC、FPGA或CPLD。
本发明实施例还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述认证方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。其中,所述的计算机可读存储介质,如只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,均属于本发明的保护之内。
Claims (19)
1.一种认证方法,其特征在于,应用于会话管理功能SMF,所述方法包括:
在确定用户设备UE未签约二次认证的情况下,向认证服务器发送第一请求信息,所述第一请求信息携带所述UE对应的通用公共用户标识GPSI,所述第一请求信息用于请求确认是否对所述UE进行二次认证;
接收所述认证服务器发送的第一指示信息,所述第一指示信息用于确定是否触发所述UE的二次认证。
2.根据权利要求1所述的方法,其特征在于,所述接收所述认证服务器发送的第一指示信息之后,所述方法还包括:
在所述第一指示信息指示触发所述UE的二次认证的情况下,触发所述UE的二次认证。
3.根据权利要求1所述的方法,其特征在于,所述向认证服务器发送第一请求信息,包括:
在所述UE的用户位置信息表征所述UE在允许进行二次认证的位置区域内的情况下,向认证服务器发送第一请求信息。
4.根据权利要求1所述的方法,其特征在于,所述向认证服务器发送第一请求信息,包括:
在所述UE发起的协议数据单元PDU会话请求次数小于预设阈值的情况下,向认证服务器发送第一请求信息。
5.根据权利要求1所述的方法,其特征在于,所述向认证服务器发送第一请求信息之前,所述方法还包括:
基于所述UE的全球唯一用户永久标识符SUPI和数据网络名称DNN获取所述UE对应的通用公共用户标识GPSI。
6.根据权利要求1所述的方法,其特征在于,所述向认证服务器发送第一请求信息,包括:
与用户平面功能UPF建立N4会话,其中,所述N4为所述SMF与所述UPF之间的接口;
通过所述UPF向认证服务器发送第一请求信息。
7.一种认证方法,其特征在于,应用于认证服务器,所述方法包括:
在用户设备UE未签约二次认证的情况下,接收会话管理功能SMF发送的第一请求信息,所述第一请求信息携带所述UE对应的通用公共用户标识GPSI,所述第一请求信息用于请求确认是否对所述UE进行二次认证;
向所述SMF发送第一指示信息,所述第一指示信息用于确定是否触发所述UE的二次认证。
8.根据权利要求7所述的方法,其特征在于,所述向所述SMF发送第一指示信息之后,所述方法还包括:
在所述第一指示信息指示触发所述UE的二次认证的情况下,对所述UE进行二次认证。
9.根据权利要求7所述的方法,其特征在于,所述对所述UE进行二次认证之后,所述方法还包括:
在所述UE成功执行二次认证的情况下,向网络开放网元NEF发送更新信息,所述更新信息用于指示将所述UE对应的GPSI增加至用户签约数据。
10.根据权利要求7所述的方法,其特征在于,所述接收SMF发送的第一请求信息,包括:
在所述UE的用户位置信息表征所述UE在允许进行二次认证的位置区域内的情况下,接收SMF发送的第一请求信息。
11.根据权利要求7所述的方法,其特征在于,所述接收SMF发送的第一请求信息,包括:
在所述UE发起的协议数据单元PDU会话请求次数小于预设阈值的情况下,接收SMF发送的第一请求信息。
12.根据权利要求7所述的方法,其特征在于,所述UE对应的通用公共用户标识GPSI基于所述UE的全球唯一用户永久标识符SUPI和数据网络名称DNN获得。
13.一种SMF,其特征在于,所述SMF包括:
发送模块,用于在确定用户设备UE未签约二次认证的情况下,向认证服务器发送第一请求信息,所述第一请求信息携带所述UE对应的通用公共用户标识GPSI,所述第一请求信息用于请求确认是否对所述UE进行二次认证;
接收模块,用于接收所述认证服务器发送的第一指示信息,所述第一指示信息用于确定是否触发所述UE的二次认证。
14.一种认证服务器,其特征在于,所述认证服务器包括:
接收模块,用于在用户设备UE未签约二次认证的情况下,接收会话管理功能SMF发送的第一请求信息,所述第一请求信息携带所述UE对应的通用公共用户标识GPSI,所述第一请求信息用于请求确认是否对所述UE进行二次认证;
第一发送模块,用于向所述SMF发送第一指示信息,所述第一指示信息用于确定是否触发所述UE的二次认证。
15.一种SMF,其特征在于,包括收发机和处理器,
所述收发机,用于在确定用户设备UE未签约二次认证的情况下,向认证服务器发送第一请求信息,所述第一请求信息携带所述UE对应的通用公共用户标识GPSI,所述第一请求信息用于请求确认是否对所述UE进行二次认证;
所述收发机,还用于接收所述认证服务器发送的第一指示信息,所述第一指示信息用于确定是否触发所述UE的二次认证。
16.一种认证服务器,其特征在于,包括收发机和处理器,
所述收发机,用于在用户设备UE未签约二次认证的情况下,接收会话管理功能SMF发送的第一请求信息,所述第一请求信息携带所述UE对应的通用公共用户标识GPSI,所述第一请求信息用于请求确认是否对所述UE进行二次认证;
所述收发机,还用于向所述SMF发送第一指示信息,所述第一指示信息用于确定是否触发所述UE的二次认证。
17.一种SMF,其特征在于,包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序,所述程序被所述处理器执行时实现如权利要求1至6中任一项所述的认证方法的步骤。
18.一种认证服务器,其特征在于,包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序,所述程序被所述处理器执行时实现如权利要求7至12中任一项所述的认证方法的步骤。
19.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至6中任一项所述的认证方法的步骤;或者所述计算机程序被处理器执行时实现如权利要求7至12中任一项所述的认证方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210223952.4A CN116782214A (zh) | 2022-03-09 | 2022-03-09 | 一种认证方法及相关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210223952.4A CN116782214A (zh) | 2022-03-09 | 2022-03-09 | 一种认证方法及相关设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116782214A true CN116782214A (zh) | 2023-09-19 |
Family
ID=87993640
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210223952.4A Pending CN116782214A (zh) | 2022-03-09 | 2022-03-09 | 一种认证方法及相关设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116782214A (zh) |
-
2022
- 2022-03-09 CN CN202210223952.4A patent/CN116782214A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9113332B2 (en) | Method and device for managing authentication of a user | |
| KR101475349B1 (ko) | 이동 통신 시스템에서 단말 보안 능력 관련 보안 관리 방안및 장치 | |
| WO2020224622A1 (zh) | 一种信息配置方法及装置 | |
| US10278073B2 (en) | Processing method for terminal access to 3GPP network and apparatus | |
| CN102396203A (zh) | 根据通信网络中的认证过程的紧急呼叫处理 | |
| EP1757139A1 (en) | Method of preventing or limiting the number of simultaneous sessions in wireless local area network (wlan) | |
| EP3550780B1 (en) | Verification method and apparatus for key requester | |
| CN110636495B (zh) | 一种雾计算系统中的终端用户安全漫游认证的方法 | |
| CN113543127B (zh) | 一种密钥生成方法、装置、设备及计算机可读存储介质 | |
| EP4124085A1 (en) | Communication system, method and apparatus | |
| CN113498060B (zh) | 一种控制网络切片认证的方法、装置、设备及存储介质 | |
| KR101460766B1 (ko) | 무선 네트워크 시스템에서 클러스터 기능을 이용한 보안설정 시스템 및 그 제어방법 | |
| EP4054219A1 (en) | Information processing method and device, equipment and computer readable storage medium | |
| CN115516887A (zh) | 在独立非公共网络中载入设备 | |
| CN114423010A (zh) | 网络访问控制方法、装置、电子设备及存储介质 | |
| CN108112015B (zh) | 一种语音业务的切换方法、装置及移动终端 | |
| CN113676901A (zh) | 密钥管理方法、设备及系统 | |
| US10959097B1 (en) | Method and system for accessing private network services | |
| US11930472B2 (en) | Target information acquisition method and terminal device | |
| CN111447546A (zh) | 一种位置服务的控制方法和通信单元 | |
| CN116782214A (zh) | 一种认证方法及相关设备 | |
| CN110830996B (zh) | 一种密钥更新方法、网络设备及终端 | |
| KR100821168B1 (ko) | 교환장치에서의 인증 벡터를 이용한 인증 방법 및 그교환장치 | |
| CN113079505B (zh) | 用户认证方法、核心网侧设备及计算机可读存储介质 | |
| CN113498055B (zh) | 接入控制方法及通信设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |